Un de mes clients est en train de migrer sur #GoogleDrive l'ensemble des données de ses clients (incluant des documents très personnel tel que Carte d'Identité, Avis Imposition ...) malgré mes cris d'alarme sur la protection des données.
Je recherche des documents indiquant la dangerosité de cette action. Si vous avez des articles que je puisse continuer mon dossier préventif, je suis très preneur.
@LaQuadrature auriez-vous des pistes ?
Boost apprécié.
--
#RGPD #GAFAM #GOOGLE #JeRecherche
dans le doc normalement tu dois en informer tes clients mais je ne suis pas sur que ça soit une obligation...
En tout cas c'est vraiment pas cool quand tu es client de ces boîtes, quand tu les as choisi pour leur respect des données et qu'ils changent de bord si en plus tu n'es pas au courant c'est moche.
@LaQuadrature @isserterrus - 2/2
Voici deux articles récents parlant de fuites de données massives ainsi que leurs conséquences :
https://cyberguerre.numerama.com/9899-au-bresil-une-fuite-de-donnees-critiques-deballe-la-vie-de-la-quasi-totalite-des-citoyens.html
En outre tu peux aller te balader sur le shaarli de Sebsauvage ( https://sebsauvage.net/links/ ), il partage souvent des informations sur ce thème. Tu peux y faire des recherches par tag (essaie "freedom" par exemple).
@dhal @isserterrus @LaQuadrature
Essayez aussi avec le tag "security"
https://sebsauvage.net/links/?searchtags=Security
@isserterrus
Ben là 1 ère chose qui me vient à l'esprit c'est le cloud act, ensuite le rgpd il faudrait que je donne mon accord pour héberger mes données aux US il me semble, non ?
@LaQuadrature
Je crois qu'il y a un bouton dans l'espace pour se plaindre qu"il y a des données perso.
moi j'ai arrêté la collaboration avec un gros client quand il a fallut mettre mes documents perso (CI, bilan etc...) sur un googledrive.
@isserterrus d'un point de vue plus pratique, tu peux aussi lui dire qu'il va perdre l'organisation arborescente de ses documents, que chaque utilisateur va pouvoir faire n'importe quoi avec ses documents et que par défaut les documents créés par chaque utilisateur leur appartiennent, s'ils suppriment un compte parce que l'utilisateur est parti, ils perdent les documents.
Ce n'est que depuis peu qu'il est possible, mais demande une opération manuelle, d'attribuer un doc à plusieurs personnes
@isserterrus @LaQuadrature un danger auquel on pense peu : Google peut décider de supprimer un compte unilatéralement et donc le drive aussi :
Merci, ça part direct dans mon WallaBag 😁
--
@mmu_man
@mmu_man @isserterrus @LaQuadrature
Conseil: Considérez les services des GAFAM comme des poubelles à retardement. Tout ce que vous y mettez peut disparaître d'un claquement de doigts, n'importe quand. N'y mettez rien d'important, de précieux, de personnel. N'y mettez que des choses sans importance.
@SillobreMVC @isserterrus @LaQuadrature Ironique ce lien AMP...
@isserterrus @LaQuadrature le rgpd interdit le transfert de données personnelles aux us
Pour avoir connu le problème à l'échelle d'une grande entreprise: il sera plus sécure de confié le stockage a une entreprise tierce que d'essayer de le sécurisé soit même.
Mais:
- le tiers doit être au courant (dans ton cas, usage de Google Suite, avec la précision lors de l'initialisation que les donnes stockés sont sensibles RGPD, et donc, qu'elle doivent être stocké dans ton pays - ou pas, c'est le cas pour la France en tout cas.
- le ou les clients doivent être au courant que tu stock tes données chez un tiers qui respecte la RGPD
C'est plus sécure sur 2 aspects (principalement) :
- la responsabilité : si un problème intervient (fuite par exemple) tu n'est pas en cause, mais le tiers est en cause (sauf si la fuite s'avère être un accès frauduleux de ton côté évidemment)
- le technique : jamais tu n'auras les même moyen que Google pour stocker tes données : MFA (2+), sauvegardes et backup, haute disponibilité, ZTNA, ... Il te seras impossible d'avoir mieux avec un budget "standard"
https://diaspodon.fr/@SillobreMVC/105724853618519819
Ce n'est pas un argument,
- un mot de passe en fuite ne suffit pas à contré les MFA (qui peuvent être forcé dans Google Suite)
- c'est une fuite COMB qui inclut donc des mots de passe de plusieurs site, Google n'y est pour rien si tu as gardés le même mot de passe depuis 10 ans (politique de changement de mot de passe possible dans G Suite) et que tu utilises le même mot de passe pour tout tes sites ;)
@isserterrus @LaQuadrature @SillobreMVC
https://mamot.fr/@dhal/105723131412538357
Je considère que c'est un mauvais argument, ça rentre dans la case "le tiers à plus de moyen vu que c'est sont métier" c'était une entreprise de crédit, pas de stockage en ligne, pas étonnant qu'une fuite arrive
@isserterrus @LaQuadrature @SillobreMVC
Pour finir, je dirai qu'il peut aussi tenter de stocker chez un partenaire autre que Google.
OpenBee
PCloud
...
J'en connais pas beaucoup, mais les avantages resteront les mêmes, en plus d'avoir un vrai commercial à disposition
@storm1er @isserterrus @LaQuadrature
Merci pour les explications
@isserterrus @LaQuadrature alors je dirais que tu risque de pas trouver beaucoup de littérature sur le sujet. De toute façon tout doit être couvert dans les CGU (soit de Google Drive, soit de GSuite), CGU incompréhensibles écrites par des juristes pour qu'elles soient volontairement pas intelligibles. Laisse tomber avec ce client qui a encore confiance dans une entreprise comme Google après Prism
@isserterrus @LaQuadrature Tu as peut-être déjà celui-là ? Porte d'entrée pour le phising https://www.wired.com/story/beware-a-new-google-drive-scam-landing-in-inboxes/
@isserterrus @LaQuadrature *phishing* pardon
@isserterrus @LaQuadrature
Eh bien, commence par lui transmettre ça :
https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/
Checker votre adresse mail pour savoir si elle a été piratée et diffusée :
https://cybernews.com/personal-data-leak-check/
Dans mon cas, mon adresse Hotmail était dans la liste ! 😮
@isserterrus @LaQuadrature
Salut. le renvoyer sur le RGPD avec à la clef un montant de l'amende de 4% de son CA limité à 20 000 000 d'euros. remarque moi j'ai un client qui m'a sorti "la direction a décidé qu'on était pas concernés" . au bout d'un moment, il faut bien qu'ils assument leurs conneries.
@isserterrus
S'il y a des données de structures étatiques mairie, pref, ministère il faut une autorisation écrite des tutelles pour sortir des documents administratifs de France. Pour le personnel ils ont du normalement mettre à jour leur doc rgpd indiquant les traitements faits aux données et ils doivent mentionner que des tiers ont désormais accès à ces données et ils doivent les nommer.
Une fois le changement de traitement fait @LaQuadrature - 1/2